La Audiencia Provincial de Zaragoza ha condenado a cinco personas de nacionalidad española a penas de cárcel por cometer un delito de estafa y a multas de más de 37.000 euros para indemnizar a las personas y a las entidades bancarias afectadas. El tribunal condena a penas de un año de prisión y multa de seis meses con una cuota diaria de siete euros a tres de los acusados; el cuarto investigado ha sido condenado a un año y seis meses de prisión por el agravante de reincidencia y multa de diez meses con una cuota diaria de siete euros. El último acusado ha recibido una pena de tres meses de cárcel y multa de un mes, también con la misma cuota.

Según informa el Consejo General del Poder Judicial, la sentencia considera probado que los cinco individuos formaban parte de un entramado que utilizaba el método de phishing para obtener datos personales como cuentas bancarias, archivos de cuentas con datos confidenciales, números secretos de acceso, cuentas de correo electrónico, tarjetas bancarias y documentos de identidad escaneados.

Los condenados captaban los datos sensibles mediante phishing con el objetivo de emplear la información para realizar comprar online, ordenar traspasos de saldos a tarjetas virtuales y hacer giros a través de la web de Correos o apostar en diversas páginas web. Las operaciones, según la sentencia, se llevaban a cabo desde las IP de los ordenados de los afectados, que previamente habían sido infectados con troyanos para activar la "asistencia remota". Gracias al virus citifraud.gen, los condenados robaban datos sensibles como las cuentas bancarias, los códigos de acceso a dichas cuentas y los números de las tarjetas bancarias.

En total, 172 personas físicas y 15 entidades bancarias y financieras —como BBVA, Banesto, La Caixa o Bankinter, entre otras— fueron perjudicadas por las actividades delictivas. Durante el curso de la investigación, el grupo de nuevas tecnologías de la Brigada Provincial de la Política Científica Nacional, tras los registros realizados en los domicilios, descubrió en los discos duros analizados 16.300 direcciones de correos electrónicos, 550 archivos con numeración de tarjetas de crédito y datos de filiación, 45.978 archivos log con numeraciones de tarjetas, contraseñas y datos de acceso a correos electrónicos, junto con 27 archivos con conversaciones con terceras personas a las que se les ofrecía la venta de la información recopilada mediante phishing.